Обновление Java SE 6 Update 33 и Java SE 7 Update 5 с устранением критических уязвимостейКомпания Oracle представила очередные корректирующие выпуски JavaSE - Java SE 7 Update 5 и Java SE 6 Update 33, в которых устранено 14 уязвимостей, 6 из которых присвоен критический уровень опасности, связанный с возможностью выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 12 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. Для одной уязвимости сложность доступа определена как высокая, для одной как средняя и для 12 как низкая. Известно, что 3 уязвимости в Deployment Toolkit, по одной в JRE, Hotspot VM, 2D-подсистеме, Swing, одна JAXP, CORBA, библиотеках, сетевой подсистеме и системе обеспечения безопасности. Детали, касающиеся уязвимостей не раскрываются компанией Oracle, но в системе отслеживания ошибок компании Red Hat имеются сведения по нескольким опасным проблемам: Ошибка в Swing-библиотеке SynthLookAndFeel может привести к доступу к внешним GUI-элементам, что может быть использовано для обхода sandbox-ограничений; Проблемы с проверкой правил доступа в HotSpot JVM позволяют специально оформленному классу выйти за пределы ограничений изолированного окружения; Ошибка в менеджере шрифтов, позволяет выполнить код в системе при загрузке специально скомпонованного файла с шрифтом; Проблема в CORBA позволяет обратиться к ресурсам вне виртуальной машины. Одновременно выпущены обновления IcedTea6 1.10.8 и 1.11.31.11.1, полностью открытой реализации Java SE 6, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранено 12 уязвимостей.
Распечатано с HostDB.ru.
|